Le linee Guida sul Data Protection Officers – GDPR [parte 2]

Le linee Guida sul Data Protection Officers – GDPR [parte 2]


Le linee Guida sul Data Protection Officers – GDPR [parte 2]

Il DPO è il responsabile rispetto all’inosservanza dell’organizzazione rispetto al GDPR ?

Proseguiamo con la lettura delle linee guida  sul Data Protection Officers pubblicate dal WP29 il 13 dicembre scorso, che qui trovare la  versione ufficiale in inglese mentre qui le Linee Guida tradotte in italiano  da me tradotte “grezzamente”, che null’altro vuol’essere se non un utility tool.

Ma proseguiamo con l’analisi delle linee guida. Non più tardi di un mese e mezzo fa mi sono trovato, come relatore a spiegare, il più praticamente possibile, a una platea d’imprenditori cosa si dovesse fare con l’avvento del GDPR – General Data Protection Regulation – e mi è stata posta una domada: “il DPO è responsabile della inosservanza o meno relativamente al GDPR ?”.

La risposta, anche in questo caso, la troviamo nelle specifiche pubblicate il 13 docembre, e più precisamente:

Pagina 4 – Il DPO non è personalmente responsabile in caso di inosservanza il GDPR. Il GDPR chiarisce che sono il Titolare o il Responsabile del trattamento che debbono essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento e alle sue disposizioni (articolo 24(1)). La Protezione dei dati e la conformità sono una responsabilità del Titolare e del Responsabile del Trattamento.

Quindi, come ben specificato in questo passaggio, la responsabilità del Titolare del trattamento – la persona, l’organizzazione, l’ente o la ditta  che determina le finalità e i mezzi del trattamento – o del Responsabile del Trattamento – la persona o l’organo, che tratta dati personali per conto del titolare del trattamento – come da note 17 e 18 del GDPR, non vengono meno con la presenza e la nomina del DPO all’interno della stessa organizzazione.

I responsabili rimangono il Titolare o il Responsabile del Trattamento

Insomma non vi è alcun trasferimento di responsabilità. Più avanti si specificano ancor meglio i compiti del DPO e si desume che il suo compito sia fondamentale rispetto alla Privacy Policy di un’organizzazione.

Infatti al punto  3.1. Coinvolgimento del DPO in tutte le questioni relative alla tutela dei dati personali

si dice che:

L’Articolo 38 del GDPR prevede che il Titolare e il Responsabile del trattamento si assicurano affinché il DPO ‘sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.’.

È fondamentale che il DPO sia coinvolto sin dalla fase iniziale in tutte le questioni relative alla protezione dei dati. In relazione alle valutazioni di impatto della protezione dei dati, il GDPR prevede esplicitamente il coinvolgimento precoce del DPO e specifica che il Titolare del Trattamento deve chiedere il parere del DPO quando si effettua la valutazione di impatto. 

Garantire che il DPO sia informato e consultato in via preliminare faciliterà la conformità con il GDPR, garantire un approccio privacy by design pertanto dovrebbe essere la procedura standard all’interno della governance dell’organizzazione.

Inoltre, è importante che il DPO sia visto come un partner di discussione all’interno dell’organizzazione e che lui o lei faccia parte dei gruppi di lavoro pertinenti a che fare con attività di elaborazione dati all’interno dell’organizzazione.

Insomma, il DPO è il quella figura che fungerà da partner e da “braccio destro” agli organi dirigenziali  di un’azienda strutturata, o del libero professionista o , come ben sappiamo, per tutte le PA.

Sperando d’esservi stato d’aiuto nei prossimi giorni proseguirò con queste analisi e cercherò di dare una sistemata alla traduzione per renderla ancor più “attinente”. Per qualsiasi domanda potete usare i commenti o scrivermi una e.mail.

L’articolo Le linee Guida sul Data Protection Officers – GDPR [parte 2] proviene da Zanoli.biz – Sicurezza informatica Privacy Disaster Recovery.


Source: Zanoli IT

Condividi questo post

Lascia un commento